[ This article was originally published here ]
İle Chinatu Uzuegbu, CISSP, CEO/Yönetim Siber Güvenlik Danışmanı, RoseTech CyberCrime Solutions Ltd.
(ISC)² Güvenlik Kongresi 2022, dünyanın dört bir yanından içgörülerle dolu konuşmacıların katılımıyla büyük bir başarıydı. Bu yılki etkinliğin teması şuydu: Daha Güvenli, Daha Güvenli Bir Siber Dünyayı Güçlendirin ve kesinlikle birçoklarına bunu yapmaları için ilham verdiler.
Bu blogda, Karl Ots, CISSP, Bulut Güvenliği Başkanı, EPAM ve Linkedin Learning Instructor tarafından sunulan alıntıları paylaşıyor olacağız. (ISC)² Güvenlik Kongresi katılımcıları, talep üzerine etkinlikteki bu ve diğer tüm oturumları izleyerek CPE kredisi kazanabilirler.
Karl’a göre, “Veri ihlallerinin, harici saldırılar veya uygulama güvenlik açıklarından ziyade yanlış yapılandırılmış bulut hizmetleri nedeniyle gerçekleşmesi daha olasıdır.”. Ayrıca Bulut’a yapılan en başarılı saldırıların bir sonucu olduğunu ima etti. Yanlış yapılandırmalar, Yanlış yönetimler ve hatalar bulut müşterileri tarafından. Güvenlik ve risk yönetimi liderlerine, katı bulut güvenliği duruşuna ve riskleri proaktif olarak düzeltecek ve azaltacak en iyi uygulamalara çok dikkat etmelerini tavsiye etti.
Karl sunumunu iki ana bölüme ayırdı:
Buluta Geçişin 3 Güvenlik Etkisi:
- Geçici iş yükleri: Olay odaklı aracısız izleme uygulanmalıdır.
- Çevre değişiklikleri: Kimlik tabanlı Çevre ve mikro segmentasyon uygulanmalıdır.
- OSS’nin artan payı: Tedarik zinciri yaşam döngüsü güvenliği gereklidir.
5 Bulut Güvenliği Başarısızlığı veya Tehdidi (ve bunlardan nasıl kaçınılır):
- Bulut Güvenliğine Asimetrik Yaklaşım:
- Yerleşik bir bulut yerel güvenlik mimarisinin uygulanması.
- Bulut Kimlik Bilgisi Sürünmesi:
- Sıkı kimlik doğrulama ilkeleri uygulayın.
- Erişim kapsamına odaklanarak rol tabanlı erişim denetimi uygulayın.
- Kimlik ve Erişim Yönetimini (IAM) bir kod olarak benimseyin.
- Bozuk Veri Düzlemi Erişim Kontrolü:
- Anahtar kasasında saklanacak ve programlı olarak döndürülecek depolama erişim anahtarı ve bağlantı dizesi.
- Veri düzlemini Rol Tabanlı Erişim Denetimi’ni (RBAC) kullanın.
- Politikalarla depolama paketi/hesap ayarlarını zorunlu kılın.
- Açık Genel Uç Noktalar:
- Her genel IP adresini yönetilmesi ve gözden geçirilmesi gereken bir risk olarak ele alın.
- Hizmet Olarak Altyapı (IaaS) ortamlarınız, Erişim Kontrol Listeleri (ACL) ve güvenlik duvarları gibi yerel bulut ağ hizmetleriyle güvence altına alınmalıdır.
- Hizmet Olarak Platform (PaaS) veri hizmetleriniz, kaynak güvenlik duvarları ve diğer ilkelerle güvence altına alınmalı ve uygulanmalıdır.
- Yanlış yönetilen Yanlış yapılandırmalar:
- Bulut Hizmeti Sağlayıcısından (CSP) en iyi yönetim uygulamaları.
- Politikaların sıkı bir şekilde uygulanması.
- Tanımlanan yanlış yapılandırmaların Otomatik Düzeltilmesi.
- Kod güvenlik taraması olarak altyapı.
Karl, sunumunu şu şekilde pekiştirerek özetledi: “Bulut hizmetlerine yapılan neredeyse tüm başarılı saldırılar, müşteri yanlış yapılandırmalarının, yanlış yönetimlerinin ve hatalarının sonucudur. Güvenlik ve risk yönetimi liderleri, riskleri proaktif ve reaktif bir şekilde belirlemek ve düzeltmek için bulut güvenliği duruş yönetimi süreçlerine ve araçlarına yatırım yapmalıdır.”
Bulut Güvenliği hakkında daha fazlasını keşfetmek ister misiniz? Yeniyi her zaman, her yerde kullanabilirsiniz. Bulut güvenliğindeki becerilerinizi geliştirin ve Bulut Güvenliği Sertifikası ile siber güvenlik kariyerinizi ileriye taşıyın, daha fazlasını öğrenin: .
reklam